Jedan od uobičajenih savjeta o sigurnosti računa je da korisnici trebaju redovito mijenjati svoje lozinke. Obrazloženje iza ovog pristupa je minimiziranje vremena za koje je bilo koja lozinka valjana, u slučaju da ikada bude ugrožena. Cijela se ova strategija temelji na povijesnim savjetima vrhunskih skupina za kibernetičku sigurnost kao što je američki NIST ili Nacionalni institut za standarde i tehnologiju.
Desetljećima su vlade i tvrtke slijedile ovaj savjet i prisiljavale svoje korisnike da redovito poništavaju lozinke, obično svakih 90 dana. Međutim, s vremenom je istraživanje pokazalo da ovaj pristup ne radi kako je predviđeno i 2017 NIST zajedno s UK-ima NCSC, ili Nacionalni centar za kibernetičku sigurnost, promijenili su svoj savjet da zahtijevaju promjenu lozinke samo kada postoji opravdana sumnja u kompromitaciju.
Zašto je savjet promijenjen?
Savjet za redovito mijenjanje lozinki izvorno je implementiran kako bi se povećala sigurnost. Iz čisto logične perspektive, savjet o redovitom osvježavanju lozinki ima smisla. Iskustvo u stvarnom svijetu ipak je malo drugačije. Istraživanje je pokazalo da je prisiljavanje korisnika da redovito mijenjaju svoje lozinke značajno povećalo vjerojatnost da će početi koristiti sličnu zaporku koju bi mogli samo povećati. Na primjer, umjesto odabira lozinki poput "9L=Xk&2>", korisnici bi umjesto toga koristili lozinke poput "Proljeće2019!".
Ispostavilo se da, kada su prisiljeni smisliti i zapamtiti više lozinki te ih zatim redovito mijenjati, ljudi dosljedno koriste nesigurnije lozinke koje se lako pamte. Problem s inkrementalnim lozinkama poput "Proljeće 2019.!" je da se lako pogađaju, a zatim olakšavaju i predviđanje budućih promjena. U kombinaciji to znači da prisilno poništavanje lozinke tjera korisnike da izaberu lakše za pamćenje i dakle slabije lozinke, koje obično aktivno potkopavaju namjeravanu korist od smanjenja budućnosti rizik.
Na primjer, u najgorem slučaju, haker bi mogao kompromitirati lozinku "Proljeće 2019.!" u roku od nekoliko mjeseci od važenja. U ovom trenutku mogu isprobati varijante s "Jesen" umjesto "Proljeće" i vjerojatno će dobiti pristup. Ako tvrtka otkrije ovaj sigurnosni proboj, a zatim prisili korisnike da promijene svoje lozinke, to je pošteno vjerojatno će pogođeni korisnik samo promijeniti svoju lozinku u "Winter2019!" i misle da jesu siguran. Haker, poznavajući obrazac, može to pokušati ako ponovno dobije pristup. Ovisno o tome koliko dugo se korisnik drži ovog obrasca, napadač ga može koristiti za pristup tijekom više godina, a sve dok se korisnik osjeća sigurnim jer redovito mijenja svoju zaporku.
Koji je novi savjet?
Kako bismo potaknuli korisnike da izbjegavaju formulične lozinke, savjet je da se lozinke poništavaju samo kada postoji opravdana sumnja da su ugrožene. Ne prisiljavajući korisnike da redovito pamte novu zaporku, vjerojatnije je da će na prvom mjestu odabrati jaku zaporku.
U kombinaciji s tim su brojne druge preporuke usmjerene na poticanje stvaranja jačih lozinki. To uključuje osiguravanje da sve lozinke imaju najmanje osam znakova u apsolutnom minimumu i da maksimalni broj znakova iznosi najmanje 64 znaka. Također je preporučio da se tvrtke počnu odmicati od pravila složenosti prema korištenju popisa blokiranih koristeći rječnike slabih lozinki kao što je "ChangeMe!" i "Lozinka1" koji su složeni zahtjevima.
Zajednica kibernetičke sigurnosti gotovo se jednoglasno slaže da lozinke ne bi trebale isteći automatski.
Napomena: Nažalost, u nekim scenarijima to će možda biti potrebno učiniti jer neke vlade tek trebaju promijeniti zakone koji zahtijevaju istek lozinke za osjetljive ili povjerljive sustave.